Lorsqu’Axelle « Crypto Girl » Apvrille a décidé de s’intéresser aux bracelets Fitbit Flex (un compagnon « fitness » censé nous suivre tout au long de nos activités physiques), ledit bracelet avait déjà un lourd passé d’indiscrétions. Dès 2011, Andy Baio, en un Twitt lapidaire, expliquait à qui voulait bien l’entendre comment les données collectées et cloudifiées par cet accessoire pouvaient révéler l’activité sexuelle de son porteur. Dans la catégorie « atteinte à la vie privée », l’objet en question bénéficiait déjà d’une véritable tête de champion. Naturellement, ont succédé les hacks les plus divers pour tromper les capteurs de ce cyber-prof de gym. Parcourir 10 000 pas en moins d’une heure ? Rien de plus simple si l’on attache ledit bracelet à la jante d’une automobile ou si l’on joue avec les mécanismes de synchronisation utilisant un protocole aussi propriétaire qu’indiscret. Ce qui compte, après tout, c’est de publier sur un réseau social ses performances, pas vrai ?
Les travaux d’Axelle Apvrille se situent donc dans la droite ligne des recherches de Rahman, Carbunar et Banik, autrement dit en utilisant une approche scientifique basée sur une analyse méthodologique des protocoles et des vulnérabilités de l’appareil. Un protocole transporté en Bluetooth « low energy », et dont les échanges de paquets entre la clef USB de synchronisation et le bracelet lui-même peuvent être capturés. Pour ce faire, Apvrille a utilisé une carte Galileo et Wireshark pour examiner les données de synchronisation, tenté (et parvenue avec succès) de reproduire le protocole de communication avec le bracelet, et découvert au passage plusieurs commandes non documentées régissant précisément ces échanges ainsi que des vulnérabilités donnant accès à des données contenues en mémoire. Mais le passage le plus amusant de l’histoire, c’est lorsque la chercheuse explique comment l’on pourrait utiliser ce bracelet sportif comme source d’entropie. Exploiter une faille pour créer la première pièce d’un système de chiffrement solide, le tour est savoureux.
De prime abord, la recherche peut paraître vaine. « Encore une attaque de l’Internet des objets » Oui, encore. Mais, insiste Axelle Apvrille, il est important de signaler les erreurs d’intégration qui affectent ces objets de tous les jours. Grosse failles et petits effets aujourd’hui, mais qu’en sera-t-il demain ? Car l’on peut s’attendre à ce que des erreurs identiques soient commises dans la conception d’équipements plus sensibles, plus critiques si l’on n’y prend pas garde.
Il ne s’agit pas là d’une vision utopique de spécialiste. Un récent article de nos confrères de Computer Weekly mettait en lumière le « manque de confiance croissant des usagers dans le domaine de la maison intelligente » et d’invoquer la peur d’un flicage généralisé de la NSA une fois que chaque citoyen se verra entouré de « smartmeters » et autres objets de l’Internet. C’est le résultat du « double effet Snowden » qui, de manière relativement brutale, parvient à faire comprendre les implications d’une faille de sécurité qui, jusqu’à présent, ne passionnait que quelques nerds perdus dans des conférences de sécurité improbables. On peut bien sûr discuter sur le bienfondé d’une telle crainte, mais le résultat est là : dans l’inconscient de la société, les machins connectés commencent à inspirer un doute légitime. Le premier pas vers une forme de prudence numérique ?